作者簡介:丁曉東,中國人民大學法學院、中國人民大學未來法治研究院副教授,博士生導師。
內(nèi)容提要:歐盟頒布的《一般數(shù)據(jù)保護條例》首次在立法中確立了數(shù)據(jù)攜帶權(quán),賦予個體無障礙地獲取與轉(zhuǎn)移個人數(shù)據(jù)的權(quán)利。但數(shù)據(jù)攜帶權(quán)并不具有成為一種基本權(quán)利的條件,而且可能帶來諸多負面影響,不利于數(shù)字市場的良性競爭。應當將數(shù)據(jù)的可攜帶性視為一種努力目標,并且應當根據(jù)不同的情形對數(shù)據(jù)控制者施加不同的責任。對于中國而言,首先要避免在立法層面照搬照抄歐盟的數(shù)據(jù)攜帶權(quán)。其次,在涉及數(shù)據(jù)獲取與轉(zhuǎn)移的場合,需要在不同的場景中賦予個體不同程度的數(shù)據(jù)攜帶權(quán)。在不影響隱私期待及相關(guān)主體合法權(quán)益的前提下,企業(yè)應當為個體提供獲取數(shù)據(jù)的便利,并且不應對普通用戶設(shè)置數(shù)據(jù)轉(zhuǎn)移的技術(shù)障礙。此外,還可以利用數(shù)據(jù)攜帶權(quán)倒逼政府實行數(shù)據(jù)共享。
關(guān) 鍵 詞:數(shù)據(jù)攜帶權(quán)/個人信息保護/競爭法/政府數(shù)據(jù)共享
標題注釋:國家社會科學基金項目(18BFX198)。
2018年5月25日,歐盟頒布的《一般數(shù)據(jù)保護條例》正式生效。這一法律史無前例地引入數(shù)據(jù)攜帶權(quán),賦予數(shù)據(jù)主體以獲取和傳輸個人數(shù)據(jù)的權(quán)利。根據(jù)《一般數(shù)據(jù)保護條例》第20條的規(guī)定,數(shù)據(jù)主體有權(quán)獲取“經(jīng)過整理的、普遍使用的和機器可讀的”個人數(shù)據(jù),有權(quán)“無障礙地將此類數(shù)據(jù)從收集其數(shù)據(jù)的控制者那里傳輸給其他控制者”。①
無疑,數(shù)據(jù)攜帶權(quán)將對用戶的數(shù)據(jù)權(quán)利產(chǎn)生重要的影響。數(shù)據(jù)攜帶權(quán)使用戶能夠在不同的網(wǎng)站和設(shè)備上自由地轉(zhuǎn)移個人數(shù)據(jù),用戶對個人數(shù)據(jù)的控制能力將達到前所未有的高度。因此,這一權(quán)利的支持者指出,數(shù)據(jù)攜帶權(quán)將促進用戶福利,打破數(shù)據(jù)壁壘與數(shù)據(jù)壟斷,促進數(shù)據(jù)共享與數(shù)據(jù)流通。但與此同時,數(shù)據(jù)攜帶權(quán)的反對者也指出這一權(quán)利可能帶來的種種問題。例如,這一權(quán)利可能帶來技術(shù)性難題,為企業(yè)附加過多的責任;又如,數(shù)據(jù)攜帶權(quán)未必能夠促進用戶福利,未必有利于市場的良性競爭。
圍繞數(shù)據(jù)攜帶權(quán)問題之所以產(chǎn)生爭議,是因為理論研究未能澄清數(shù)據(jù)攜帶權(quán)的權(quán)利屬性問題,未能充分認知該權(quán)利對市場競爭秩序的影響。②那么,究竟該如何認識數(shù)據(jù)攜帶權(quán)這一新型權(quán)利的權(quán)利屬性?其對市場競爭秩序有何影響?本文擬對此進行深入剖析,并在此基礎(chǔ)上對數(shù)據(jù)攜帶權(quán)的中國應用問題進行討論,探討我國正在制定的個人信息保護法是否應當移植或借鑒歐盟的數(shù)據(jù)攜帶權(quán),③以及如何在爭議案件與具體場景中運用這一權(quán)利。
一、數(shù)據(jù)攜帶權(quán)的起源、要素與爭議
(一)數(shù)據(jù)攜帶權(quán)的起源
數(shù)據(jù)攜帶權(quán)的起源可以追溯到2007年。隨著網(wǎng)絡(luò)平臺的支配力越來越大,其對用戶權(quán)益的影響也越來越大,一些專家學者在2007年提出“社交網(wǎng)絡(luò)用戶權(quán)利法案”的宣言,要求強化網(wǎng)絡(luò)社會中的個人數(shù)據(jù)權(quán)利。④伴隨著這一理念和運動,一些社會活動者創(chuàng)立了“數(shù)據(jù)可攜帶項目”,提出數(shù)據(jù)攜帶權(quán)的概念。該項目認為,數(shù)據(jù)攜帶權(quán)意味著個人可以“獲取個人的數(shù)據(jù)并將其移植到一個平臺上或者替換平臺上之前的數(shù)據(jù)”,數(shù)據(jù)攜帶權(quán)將幫助網(wǎng)絡(luò)用戶實現(xiàn)“人們在互操作的應用程序中重新使用數(shù)據(jù)的能力”。⑤
在“數(shù)據(jù)可攜帶項目”提出后不久,一些社會組織、政府和企業(yè)也加入倡導數(shù)據(jù)攜帶權(quán)的動議。2010年,隱私權(quán)組織“電子隱私基金會”建議,數(shù)據(jù)可攜帶權(quán)應該是“社交網(wǎng)絡(luò)用戶隱私權(quán)法案”的一個組成部分。⑥同年,美國白宮發(fā)起“我的數(shù)據(jù)”(My Data)倡議,強調(diào)便捷化數(shù)據(jù)訪問,同時提高數(shù)據(jù)的可移植性。⑦2011年,谷歌和臉譜加入“數(shù)據(jù)可攜帶項目”。⑧谷歌創(chuàng)建“谷歌外帶”(Google Takeout)工具,允許用戶從27個谷歌產(chǎn)品中下載數(shù)據(jù)。⑨在臉譜平臺上,用戶不僅可以下載其個人資料中共享的信息,還可以下載臉譜所保存的其他不可見信息,如用戶點擊的廣告、用于登錄的IP地址等信息。⑩
經(jīng)過眾多專家學者、社會組織和政府機構(gòu)的倡議,歐盟委員會在起草《一般數(shù)據(jù)保護條例(草案)》時,正式將數(shù)據(jù)攜帶權(quán)列入數(shù)據(jù)主體所享有的一系列數(shù)據(jù)權(quán)利中。根據(jù)歐盟委員會的意見,數(shù)據(jù)攜帶權(quán)可以提升用戶對于個人數(shù)據(jù)的控制程度,促進網(wǎng)絡(luò)空間中網(wǎng)絡(luò)服務商與用戶之間的信任。此后,數(shù)據(jù)攜帶權(quán)面臨種種懷疑和指控,并且一度在草案中被取消。但在2016年通過的最終版本中,這一新生的數(shù)據(jù)權(quán)利還是被保留了下來,作為與數(shù)據(jù)訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)等權(quán)利相并列的數(shù)據(jù)權(quán)利。(11)
(二)數(shù)據(jù)攜帶權(quán)的要素
對于數(shù)據(jù)攜帶權(quán),《一般數(shù)據(jù)保護條例》的“重述”以及第29工作組對其作出了進一步的闡釋。(12)根據(jù)“重述”特別是第29工作組發(fā)布的指南,數(shù)據(jù)攜帶權(quán)包含如下基本要素:
第一,就權(quán)利屬性而言,數(shù)據(jù)攜帶權(quán)首先意味著,數(shù)據(jù)主體有權(quán)下載關(guān)于個人數(shù)據(jù)的集合。就這一點而言,數(shù)據(jù)攜帶權(quán)可以說是數(shù)據(jù)訪問權(quán)的進一步擴張,它不僅賦予數(shù)據(jù)主體以訪問個人數(shù)據(jù)的權(quán)利,(13)而且為數(shù)據(jù)主體管理和重新使用個人數(shù)據(jù)提供了更為方便的途徑。數(shù)據(jù)攜帶權(quán)賦予個體以一種“經(jīng)過整理的、普遍使用的和機器可讀的”方式來獲取和下載個人數(shù)據(jù)。例如,數(shù)據(jù)主體如果有興趣獲取其在某個音樂網(wǎng)站所選擇的音樂列表,或者聽歌的歷史記錄,或者想獲得網(wǎng)頁電子郵件里的聯(lián)系人列表,就都有權(quán)要求網(wǎng)站提供此類下載鏈接。(14)數(shù)據(jù)攜帶權(quán)還賦予數(shù)據(jù)主體以自由遷徙數(shù)據(jù)的權(quán)利。《一般數(shù)據(jù)保護條例》第20條第1、2款不僅禁止數(shù)據(jù)控制者人為設(shè)置傳輸障礙,妨礙數(shù)據(jù)主體傳輸個人數(shù)據(jù),而且要求其在技術(shù)允許的情形下必須為數(shù)據(jù)主體傳輸個人數(shù)據(jù)提供便利。如果技術(shù)可行,那么數(shù)據(jù)控制者有義務使個人能夠在數(shù)據(jù)控制者之間傳輸個人數(shù)據(jù)。(15)
第二,就數(shù)據(jù)攜帶權(quán)所涉及的數(shù)據(jù)范圍而言,《一般數(shù)據(jù)保護條例》第20條第1款將其范圍限定在“數(shù)據(jù)主體提供與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)”。這一范圍首先排除了匿名化的數(shù)據(jù)或與數(shù)據(jù)主體無關(guān)的數(shù)據(jù)。(16)但第29工作組發(fā)布的指南也指出,不應對此進行過于嚴格的解釋。在不會對第三方的權(quán)利和自由產(chǎn)生不良影響的情況下,可被移植的數(shù)據(jù)也應當包括涉及多人的數(shù)據(jù),如電話、人際互動或網(wǎng)絡(luò)通訊記錄等可能涉及他人的數(shù)據(jù),當個人請求對這些數(shù)據(jù)行使數(shù)據(jù)攜帶權(quán)時,此類數(shù)據(jù)也應當被包括在數(shù)據(jù)攜帶權(quán)的范圍之內(nèi)。(17)
第三,就下載的格式而言,數(shù)據(jù)攜帶權(quán)要求下載的格式是“經(jīng)過整理的、普遍使用的和機器可讀的”。第29工作組發(fā)布的指南指出,對于什么是“普遍使用的”,要視具體場景和技術(shù)共識而定,在沒有約定和共識的情況下,應當使用通用的開放格式的數(shù)據(jù),以使數(shù)據(jù)的重新利用成為可能。數(shù)據(jù)控制者不得以非通用格式為個人提供數(shù)據(jù),因為這會使得用戶無法便捷地重新使用數(shù)據(jù)。(18)而對于“機器可讀的”格式,歐盟的相關(guān)法律則將其定義為“使軟件應用程序能夠輕易地識別、認知和提取特定數(shù)據(jù)的格式”,而那些限制自動處理的文件格式編碼的文檔將被排除在外,因為從這些文檔中很難提取相應數(shù)據(jù)。(19)
第29工作組發(fā)布的指南還指出,下載格式應當符合互操作性的要求。這一要求“強烈鼓勵行業(yè)利益相關(guān)者與行業(yè)協(xié)會之間進行合作,共同制定一套通用的可互操作的標準和格式,以實現(xiàn)數(shù)據(jù)可移植性的要求”。(20)但另外,第29工作組發(fā)布的指南也指出,這種互操作性的要求并不一定要達到兼容性要求的程度。(21)互操作性與兼容性的區(qū)別在于,互操作性要求在用戶不知道或不太清楚功能單元性能的情況下仍然可以在不同功能單元之間進行交流、運行程序或傳輸數(shù)據(jù),而兼容性則要求不同的系統(tǒng)可以實現(xiàn)兼容。(22)
(三)數(shù)據(jù)攜帶權(quán)的爭議
自從數(shù)據(jù)攜帶權(quán)被提出以來,圍繞這一權(quán)利就存在很多爭議。支持者與反對者分別提出了若干對立意見。具體說來:
1.數(shù)據(jù)攜帶權(quán)的支持意見
第一,數(shù)據(jù)攜帶權(quán)可以強化用戶或數(shù)據(jù)主體對個人數(shù)據(jù)的控制。數(shù)據(jù)攜帶權(quán)的支持者指出,信息隱私的關(guān)鍵在于對個人信息的控制。在這個意義上,通過賦予用戶以獲取和移植自身數(shù)據(jù)的權(quán)利,用戶可以進一步強化對自身數(shù)據(jù)的控制,從而獲得更好的服務和用戶體驗。(23)
第二,數(shù)據(jù)攜帶權(quán)可以消除數(shù)據(jù)的“鎖定效應”,促進網(wǎng)絡(luò)與數(shù)字市場中的競爭。支持者指出,網(wǎng)絡(luò)服務商或其他服務商在為用戶提供服務時,常常會設(shè)置各種壁壘和障礙,防止用戶轉(zhuǎn)移到其他網(wǎng)站或服務器上,用戶即使對網(wǎng)站或服務設(shè)備感到不滿,也常常會因為數(shù)據(jù)難以轉(zhuǎn)移等問題而放棄遷移。(24)因此,通過賦予個人數(shù)據(jù)攜帶權(quán),消除個人數(shù)據(jù)自由傳輸?shù)牟槐匾系K,可以促進競爭,消除或至少部分消除“鎖定效應”。(25)
此外,支持者還提出了一些與以上兩點理由相關(guān)的論點。例如,數(shù)據(jù)攜帶權(quán)可以促進用戶與數(shù)據(jù)控制者之間的信任,同時提升用戶與數(shù)據(jù)控制者的福利。也就是說,一方面數(shù)據(jù)攜帶權(quán)可以改進用戶的使用體驗,給用戶帶來更多便利,另一方面,數(shù)據(jù)攜帶權(quán)也可以讓商家或數(shù)據(jù)控制者更為方便有效地獲取更多用戶數(shù)據(jù),因為很多用戶在行使數(shù)據(jù)攜帶權(quán)的同時,常常不會刪除之前所保存的記錄。這樣,數(shù)據(jù)攜帶權(quán)就可能促進數(shù)據(jù)的共享,實現(xiàn)用戶與數(shù)據(jù)控制者的雙贏。(26)
2.數(shù)據(jù)攜帶權(quán)的反對意見
第一,數(shù)據(jù)攜帶權(quán)不能成為一種權(quán)利。有學者指出,數(shù)據(jù)攜帶權(quán)在歐盟的實證法體系下不能成立。《歐盟基本權(quán)利憲章》規(guī)定“每個人都有權(quán)獲得個人數(shù)據(jù)保護”,但對此《歐盟基本權(quán)利憲章》只規(guī)定了特定的權(quán)利,如數(shù)據(jù)被公平處理的權(quán)利,數(shù)據(jù)收集須獲取個人同意或其他正當理由的權(quán)利,數(shù)據(jù)訪問權(quán)與更正權(quán),《歐盟基本權(quán)利憲章》并沒有將數(shù)據(jù)攜帶權(quán)視為一種基本的數(shù)據(jù)權(quán)利。(27)也有學者指出,對于數(shù)據(jù)權(quán)利是否包括數(shù)據(jù)攜帶權(quán),還未達成共識。(28)在未達成共識的情形下將數(shù)據(jù)攜帶權(quán)上升為一種基本權(quán)利,這并不明智。(29)
反對者指出,數(shù)據(jù)攜帶權(quán)不僅不能成為數(shù)據(jù)隱私權(quán)的一種,而且也未必有利于用戶的數(shù)據(jù)隱私保護。在反對者看來,個人數(shù)據(jù)訪問權(quán)已經(jīng)存在不少安全隱患,實踐中已經(jīng)出現(xiàn)很多他人盜用或冒充某個用戶行使數(shù)據(jù)訪問權(quán)從而非法獲取個人數(shù)據(jù)的情形。如果用戶被賦予數(shù)據(jù)攜帶權(quán),那么此種風險將成倍增加,因為基于數(shù)據(jù)攜帶權(quán)的要求,用戶將能夠一次性地批量下載和轉(zhuǎn)移所有個人信息,一旦他人成功盜用或冒充某個用戶,就可能瞬間獲取和轉(zhuǎn)移這位用戶的所有信息。(30)此外,數(shù)據(jù)攜帶權(quán)所涉及的數(shù)據(jù)可能包含他人數(shù)據(jù),如個人圖片可能常常包含與其他人的合影、個人聊天記錄可能包含他人隱私。(31)
第二,數(shù)據(jù)攜帶權(quán)不一定能夠促進市場競爭。對于“鎖定效應”,反對者首先指出,數(shù)據(jù)攜帶權(quán)的確有助于消解“鎖定效應”和促進數(shù)據(jù)流通,但其效果卻并不一定總是促使用戶將數(shù)據(jù)從大企業(yè)轉(zhuǎn)移到中小企業(yè),相反,其效果完全可能促使用戶將數(shù)據(jù)從中小企業(yè)轉(zhuǎn)移到大企業(yè),從而阻礙中小企業(yè)發(fā)展。其次,數(shù)據(jù)攜帶權(quán)所鼓勵的互操作性的難度非常大,成本也非常高,因為現(xiàn)實中實現(xiàn)不同系統(tǒng)與功能單元之間的互操作性非常困難;(32)這樣,數(shù)據(jù)攜帶權(quán)就可能會給中小企業(yè)造成更大的合規(guī)壓力。最后,數(shù)據(jù)攜帶權(quán)的行使可能侵犯企業(yè)的知識產(chǎn)權(quán),因為企業(yè)所收集的個人數(shù)據(jù)可能已經(jīng)符合企業(yè)商業(yè)秘密的保護標準,或者可以獲得數(shù)據(jù)庫的保護。(33)
二、數(shù)據(jù)攜帶權(quán)的權(quán)利屬性之剖析
對于數(shù)據(jù)攜帶權(quán),支持意見與反對意見的爭議焦點首先是數(shù)據(jù)攜帶權(quán)的權(quán)利屬性:數(shù)據(jù)攜帶權(quán)是否可以成為一種權(quán)利。支持者認為數(shù)據(jù)攜帶權(quán)是公民數(shù)據(jù)權(quán)利的自然延伸,有利于在網(wǎng)絡(luò)與信息時代對公民進行數(shù)據(jù)賦權(quán);反對者則認為這種權(quán)利并無共識,而且未必有利于保護公民的相關(guān)權(quán)益。
就權(quán)利理論的原理而言,支持者的理由具有一定的道理。毋庸置疑,從《歐盟基本權(quán)利憲章》中只能推導出公民的若干數(shù)據(jù)權(quán)利,如公民的個人數(shù)據(jù)訪問權(quán)、個人數(shù)據(jù)被平等對待的權(quán)利,而并不能直接推出數(shù)據(jù)攜帶權(quán)。但《一般數(shù)據(jù)保護條例》中確立的大量數(shù)據(jù)權(quán)利本身就是對傳統(tǒng)數(shù)據(jù)權(quán)利的拓展,“數(shù)據(jù)主體的權(quán)利”這一章規(guī)定了一系列重要權(quán)利:數(shù)據(jù)主體對個人數(shù)據(jù)的訪問權(quán)、更正權(quán)、擦除權(quán)(被遺忘權(quán))、限制處理權(quán)、數(shù)據(jù)攜帶權(quán)、一般反對權(quán)和反對自動化決策的權(quán)利,這些數(shù)據(jù)權(quán)利很多都并不能被傳統(tǒng)的數(shù)據(jù)權(quán)利囊括。(34)
從權(quán)利理論的角度來看,權(quán)利的內(nèi)涵與邊界本身就是隨著時代發(fā)展而變化的,現(xiàn)代社會在強調(diào)消極權(quán)利的同時,早已經(jīng)越來越多地擁抱積極性權(quán)利。(35)隱私權(quán)利與個人數(shù)據(jù)權(quán)利的歷史演化就說明了這一點。1890年,美國學者沃倫與布蘭代斯提出隱私權(quán)概念時,首先提出的是作為防御性權(quán)利的隱私權(quán)。(36)其后,現(xiàn)代數(shù)據(jù)隱私法的權(quán)威阿蘭·威斯丁又提出了積極性的信息權(quán)利或數(shù)據(jù)權(quán)利的概念,將數(shù)據(jù)權(quán)利界定為個人對自身信息的積極性控制。(37)從強化用戶控制的角度思考數(shù)據(jù)攜帶權(quán),可以發(fā)現(xiàn)數(shù)據(jù)攜帶權(quán)正是數(shù)據(jù)個人控制權(quán)的邏輯終點,這種權(quán)利將使個人的數(shù)據(jù)權(quán)益從一種消極性的防御性權(quán)利轉(zhuǎn)向一種積極性的控制性權(quán)利。(38)
不過,反對者所提的理由也不容忽視。在紙面上將數(shù)據(jù)攜帶權(quán)上升為一種基本權(quán)利,這并不困難,但可攜帶性是否可以成為個人數(shù)據(jù)的一種屬性,卻值得商榷。有不少學者試圖從財產(chǎn)權(quán)或類似權(quán)利的角度來定性個人數(shù)據(jù)權(quán),認為可攜帶性應當成為數(shù)據(jù)權(quán)利的重要特征,但是不同于一般財產(chǎn),數(shù)據(jù)具有許多獨特性,如個人數(shù)據(jù)并非獨立存在的客體,其儲存完全依賴其他載體;(39)并且個人數(shù)據(jù)常常與特定場景中的技術(shù)性載體密切結(jié)合,強行在法律上賦予個人數(shù)據(jù)可以攜帶的屬性,特別是要求個人數(shù)據(jù)可以在不同的企業(yè)與操作系統(tǒng)之間自由轉(zhuǎn)移,在操作上其實并不容易實現(xiàn)。《一般數(shù)據(jù)保護條例》“重述”與第29工作組發(fā)布的指南所設(shè)想的互操作性,在實踐中其實非常難以實現(xiàn)。例如,有的專家曾經(jīng)研究過替代微軟現(xiàn)有文件的其他格式,(40)結(jié)果發(fā)現(xiàn),這些試圖實現(xiàn)互操作性的文件格式之間存在“非常嚴重的互操作性問題”,其較輕的后果是格式化的問題,較重的后果是導致圖片、腳注、注釋、圖表等內(nèi)容的丟失。(41)
將數(shù)據(jù)攜帶權(quán)上升為一種基本權(quán)利,也的確會帶來相應的風險以及侵害其他權(quán)利的可能。如反對者所說,當用戶被他人冒充,用戶的個人數(shù)據(jù)就有可能被全部挪用,尤其是當某些黑色產(chǎn)業(yè)利用較為先進的技術(shù)手段時,這甚至可能會導致海量的個人數(shù)據(jù)被盜。對于這種風險,其實從第29工作組發(fā)布的指南中也可以部分看出。第29工作組發(fā)布的指南專門指出,數(shù)據(jù)控制者必須完全確認用戶的身份,當數(shù)據(jù)控制者對用戶的身份存疑時,其可以對用戶的身份提出進一步驗證的請求。(42)這一規(guī)定表明,第29工作組其實意識到數(shù)據(jù)攜帶權(quán)可能給用戶帶來的數(shù)據(jù)泄露風險,只是第29工作組相信通過有關(guān)驗證機制就可以確保用戶身份的真實性。(43)
此外,數(shù)據(jù)攜帶權(quán)的權(quán)利邊界還可能面臨過窄或過寬的困境,從而使數(shù)據(jù)攜帶權(quán)失去意義或侵犯其他合法權(quán)益。一方面,當把數(shù)據(jù)攜帶權(quán)界定為只是“數(shù)據(jù)主體提供的與數(shù)據(jù)主體有關(guān)的個人數(shù)據(jù)”(44)時,很多數(shù)據(jù)將不能被納入數(shù)據(jù)攜帶權(quán)的范圍,如個人在云服務器上儲存的與個人無關(guān)的視頻文件,在電商平臺上留下的用戶評論。在很多情況下,其實個人更在意的是此類數(shù)據(jù)的自由下載和移植,如個人可能希望將此類視頻文件從網(wǎng)易云傳輸?shù)桨俣仍疲瑢δ硞產(chǎn)品的差評從京東轉(zhuǎn)移到淘寶。(45)第29工作組雖然認為不宜將個人數(shù)據(jù)做過窄解釋,(46)但仍無法涵蓋此類顯然不是個人數(shù)據(jù)的數(shù)據(jù)類型。另一方面,數(shù)據(jù)攜帶權(quán)的行使又可能過寬,從而侵害其他企業(yè)或個人的合法權(quán)益。除了像反對者所說的個人數(shù)據(jù)移植可能侵犯企業(yè)的商業(yè)秘密或數(shù)據(jù)庫權(quán)益之外,個人數(shù)據(jù)的轉(zhuǎn)移還可能會侵犯他人的利益。例如,在社交網(wǎng)絡(luò)的場景中,當個人把數(shù)據(jù)成批量地從一種社交場景轉(zhuǎn)移到另一種社交場景時,就可能導致個人數(shù)據(jù)所涉及的第三人數(shù)據(jù)被不恰當?shù)孬@取與使用。(47)我們知道,2018年發(fā)生了舉世震驚的臉譜數(shù)據(jù)泄露事件,(48)在此事件中,劍橋分析公司通過一款應用程序收集了30萬用戶的信息,并通過授權(quán)獲得這30萬人的朋友圈,從中獲得了5000萬人的信息。雖然此案涉及的是劍橋分析公司對于這5000萬人信息在沒有獲得授權(quán)情況下的非法使用,沒有涉及數(shù)據(jù)攜帶權(quán),但此案所隱含的數(shù)據(jù)攜帶權(quán)困境卻非常明顯。如果用戶首先行使數(shù)據(jù)攜帶權(quán),下載其“結(jié)構(gòu)化的、普遍使用的和機器可讀的”信息,然后將這些數(shù)據(jù)授權(quán)給劍橋分析公司使用,此時劍橋分析公司完全可以聲稱此類數(shù)據(jù)是合法獲得的。但是,此種情況下很多用戶的信息也可能面臨不正當收集與使用的威脅。
為何數(shù)據(jù)攜帶權(quán)上升為一種基本權(quán)利存在問題,這需要分析基本權(quán)利的一般原理與數(shù)據(jù)攜帶權(quán)的特殊性。權(quán)利的賦予常常會影響其他相關(guān)主體的某些權(quán)利。借用美國法學家衛(wèi)斯理·霍菲爾德的權(quán)利分析框架,當某種權(quán)利賦予主體以一種特權(quán)或自由類型的權(quán)利時,對方就無權(quán)對抗此種權(quán)利;當某種權(quán)利賦予主體以一種權(quán)利主張類型的權(quán)利時,他者就有責任履行相關(guān)義務。(49)而在數(shù)據(jù)攜帶權(quán)問題上,這種權(quán)利所附加給數(shù)據(jù)控制者的義務比一般權(quán)利賦予相對方的責任更大,對其他權(quán)利造成的影響也更大。就其附加給數(shù)據(jù)控制者的義務來說,它不僅要求數(shù)據(jù)控制者提供數(shù)據(jù)獲取與移植的便利,而且要求數(shù)據(jù)控制者提供高難度的技術(shù)支持。而就其他受其影響的權(quán)利來說,數(shù)據(jù)攜帶權(quán)不僅可能會影響數(shù)據(jù)安全,而且可能打破他人對數(shù)據(jù)隱私的合理期待。可以想見,當這種附加的義務超過了現(xiàn)實可能性,當受到影響的其他權(quán)利過多時,數(shù)據(jù)攜帶權(quán)就難以上升為一種基本權(quán)利。
總之,作為一種權(quán)利,數(shù)據(jù)攜帶權(quán)面臨著很大的爭議和問題,這種新型權(quán)利可能有利于促進用戶的數(shù)據(jù)權(quán)益,也可能難以落地或帶來新的風險。此外,這種新型權(quán)利還可能因為場景不同而面臨過寬或過窄運用的困境。如此種種,都表明數(shù)據(jù)攜帶權(quán)尚未具備成為一種成熟型權(quán)利的條件。數(shù)據(jù)攜帶權(quán)或許更接近于一種理想或目標,并且這種權(quán)利也需要在不同的場景中加以限定,以保證這種權(quán)利的行使不會侵犯其他合法利益。
三、數(shù)據(jù)攜帶權(quán)之于市場競爭影響的雙面性
關(guān)于數(shù)據(jù)攜帶權(quán)的另一爭論關(guān)乎它對市場競爭的影響。數(shù)據(jù)攜帶權(quán)的支持者認為,數(shù)據(jù)攜帶權(quán)可以對抗“鎖定效應”,促進市場競爭;而反對者則認為數(shù)據(jù)攜帶權(quán)雖然可能對抗“鎖定效應”,但消除“鎖定效應”并不一定符合競爭法原理,甚至可能促發(fā)不正當競爭。
支持意見在某些場景下可以成立,尤其是數(shù)據(jù)攜帶權(quán)可能會對當前的互聯(lián)網(wǎng)競爭產(chǎn)生一定的促進作用。在互聯(lián)網(wǎng)競爭中,先行者往往占據(jù)優(yōu)勢,網(wǎng)絡(luò)效應會導致“贏者通吃”,領(lǐng)先一點即會導致大幅領(lǐng)先,(50)互聯(lián)網(wǎng)的這種競爭性質(zhì)導致大型網(wǎng)絡(luò)平臺與超大型網(wǎng)絡(luò)平臺的出現(xiàn)。用戶對于這些平臺往往具有很強的依賴性,即使有同類平臺或產(chǎn)品出現(xiàn),用戶也常常不會使用后發(fā)產(chǎn)品。其中重要的原因之一就在于,用戶往往難以將個人數(shù)據(jù)轉(zhuǎn)移到新的平臺或產(chǎn)品上面。網(wǎng)絡(luò)平臺對于個人數(shù)據(jù)的這種鎖定使得后發(fā)互聯(lián)網(wǎng)企業(yè)常常難以進行有效的競爭。在這一背景下,如果用戶對于個人數(shù)據(jù)的獲取和移植成為一種權(quán)利,那么“鎖定效應”就有可能被打破,個人數(shù)據(jù)就可以實現(xiàn)更為有效的流動。
個人數(shù)據(jù)的自由流通與共享也可能為市場提供數(shù)據(jù)這一公共基礎(chǔ)設(shè)施。對于這一點,無論是數(shù)據(jù)攜帶權(quán)的支持意見還是反對意見都沒有提及。但毋庸置疑的是,數(shù)據(jù)具有很強的公共性價值和流通性價值,很多學者都指出數(shù)據(jù)流通的重要意義。(51)即使是對于個人數(shù)據(jù)權(quán)利最為強調(diào)的《一般數(shù)據(jù)保護條例》,也強調(diào)不能限制歐盟內(nèi)部個人數(shù)據(jù)的自由流動。(52)對于市場的平等競爭和良性競爭而言,如果個人數(shù)據(jù)能夠?qū)崿F(xiàn)合理地流通和共享,那么數(shù)據(jù)的公共性價值將能得到最大限度地體現(xiàn),市場當中的主體都能平等地享受到數(shù)據(jù)這一公共基礎(chǔ)設(shè)施所帶來的價值。
但支持意見也只能在有限的場景下成立,反對意見所指出的許多理由都具有很強的說服力。首先,正如反對意見所指出的,數(shù)據(jù)攜帶權(quán)會給中小企業(yè)帶來更高的合規(guī)壓力,從而在一定程度上阻礙市場競爭和創(chuàng)新。如上文所述,企業(yè)要滿足用戶對于數(shù)據(jù)攜帶權(quán)的期待并不容易,編寫能夠?qū)崿F(xiàn)數(shù)據(jù)攜帶權(quán)的“導出—導入”模塊,是一個很高的技術(shù)要求。對于谷歌、臉譜這些大企業(yè)而言,實現(xiàn)此類技術(shù)要求可能并非難事。但對于中小企業(yè)而言,此類合規(guī)要求可能會帶來極大的壓力。面對數(shù)據(jù)攜帶權(quán)等新型權(quán)利所帶來的合規(guī)要求,歐洲的中小企業(yè)不得不花費更多的費用。從競爭的角度來看,數(shù)據(jù)攜帶權(quán)所施加的普遍性責任無疑對中小企業(yè)更為不利。
其次,就“鎖定效應”而言,數(shù)據(jù)攜帶權(quán)雖然有助于用戶更為便利地將數(shù)據(jù)從大企業(yè)遷移到其他小企業(yè)或初創(chuàng)企業(yè),但數(shù)據(jù)攜帶權(quán)也可能促進用戶更為便利地將數(shù)據(jù)從小企業(yè)遷移到大企業(yè)。例如,當某家小型超市為消費者提供用戶卡并通過這種卡收集用戶信息而某家大型超市發(fā)現(xiàn)這家小型超市對自身形成挑戰(zhàn)時,這家大型超市就可能希望吸引這家小型商店的用戶,獲取這些用戶的各類消費信息。如果數(shù)據(jù)攜帶權(quán)成為一種強制性的要求,那么這家大型超市只要出臺優(yōu)惠政策,規(guī)定只要用戶提供用戶卡數(shù)據(jù)就可以獲得折扣優(yōu)惠,這家大型超市就可以很容易地獲取這些用戶的信息。(53)由此我們可以發(fā)現(xiàn),數(shù)據(jù)攜帶權(quán)盡管可能有助于打破數(shù)據(jù)壟斷,但也完全可能加劇數(shù)據(jù)壟斷。
從競爭法的角度進行分析,我們可以發(fā)現(xiàn)數(shù)據(jù)攜帶權(quán)所造成的這種效應與競爭法的一般原理并不吻合。為了鼓勵創(chuàng)新和競爭,競爭法一般不會要求市場中的創(chuàng)新者共享其財產(chǎn),或者幫助競爭對手輕易獲取另一方的財產(chǎn)。(54)相反,競爭法一般更為強調(diào)對創(chuàng)新者的財產(chǎn)權(quán)加以保護,以此來補償創(chuàng)新者所承受的風險,激勵企業(yè)進行更多的風險投資。基于此,數(shù)據(jù)攜帶權(quán)如果上升為一種基本權(quán)利,那么這種權(quán)利不但可能會對企業(yè)的財產(chǎn)性權(quán)益造成威脅,而且也可能影響企業(yè)在合同法上的權(quán)利。
當然,企業(yè)是否擁有對數(shù)據(jù)的財產(chǎn)性權(quán)利,這是一個復雜的問題。有研究者主張企業(yè)對于數(shù)據(jù)擁有財產(chǎn)性權(quán)利。(55)但也有學者指出,當企業(yè)數(shù)據(jù)涉及個人數(shù)據(jù)時,個人對于自身的數(shù)據(jù)權(quán)利優(yōu)先于企業(yè),因為個人數(shù)據(jù)權(quán)利是一種人格性權(quán)利,不能被讓渡于企業(yè)。(56)還有的學者則指出,當個人數(shù)據(jù)在平臺上對公眾開放時,數(shù)據(jù)就位于公共領(lǐng)域,數(shù)據(jù)不屬于任何人。(57)我們這里不必深究企業(yè)數(shù)據(jù)權(quán)屬問題的細節(jié),只需要指出的是,如果將數(shù)據(jù)攜帶權(quán)上升為一種具有優(yōu)先性的基本權(quán)利,那么企業(yè)不但無法通過財產(chǎn)權(quán)框架對其數(shù)據(jù)資產(chǎn)進行合理保護,而且也無法通過合同法的方式約束用戶或另一企業(yè)。在數(shù)據(jù)的財產(chǎn)性屬性越來越強的今天,這樣一種制度安排至少存在一定的問題。因為即使各國對于數(shù)據(jù)庫的財產(chǎn)性保護或?qū)闲缘臄?shù)據(jù)資產(chǎn)權(quán)利存在質(zhì)疑,(58)各國的法律也一般會承認雙方約定合同的法律效力,通過合同法為企業(yè)數(shù)據(jù)提供保護。(59)
如果考慮到數(shù)據(jù)攜帶權(quán)可能會對商業(yè)秘密產(chǎn)生影響,那么數(shù)據(jù)攜帶權(quán)對于競爭的負面影響可能更大。很多企業(yè)收集的個人數(shù)據(jù)是不公開數(shù)據(jù),并非平臺數(shù)據(jù)或公開數(shù)據(jù)。對于此類數(shù)據(jù),當其滿足一定的要件時,就受到商業(yè)秘密的保護。一般認為,商業(yè)秘密保護與不正當競爭關(guān)系密切,對商業(yè)秘密的非法獲取常常被認為是一種不正當競爭,對商業(yè)秘密的保護也常常通過反不正當競爭法來實現(xiàn)。(60)如果一個企業(yè)可以通過用戶數(shù)據(jù)攜帶權(quán)而輕易獲取另一個企業(yè)的商業(yè)秘密,那么就等于在法律上承認未經(jīng)對方許可獲取商業(yè)秘密不屬于不正當競爭。這種推論顯然不符合人們對商業(yè)秘密保護與反不正當競爭的一般認知。
最后,用戶黏性的降低與數(shù)據(jù)流通的加快對于競爭是好是壞,也難以進行簡單判斷。一方面,互聯(lián)網(wǎng)的先行者效應、贏者通吃效應、傾覆效應固然會導致數(shù)據(jù)壟斷,數(shù)據(jù)流通也因此會有利于打破用戶黏性,增強市場競爭活力。但另一方面,在網(wǎng)絡(luò)與信息科技領(lǐng)域,市場中的競爭往往更為激烈,所謂的“創(chuàng)造性毀滅”往往會接踵而至,雖然一個企業(yè)在一段時間占據(jù)主導地位,但很快就被另一個企業(yè)替代。(61)在這種背景下,網(wǎng)絡(luò)與科技企業(yè)增加自身的用戶黏性不一定會妨礙競爭,而削弱用戶黏性也不一定就有利于市場的良性競爭。
總之,從競爭效應的角度分析,可以發(fā)現(xiàn)數(shù)據(jù)攜帶權(quán)是一把雙刃劍,如果運用得當,那么這種權(quán)利有可能在某些場景下促進市場良性競爭;如果運用不當或不加考慮地將其作為一種基本權(quán)利對待,那么這種權(quán)利非但無法促進競爭,反而還可能會促發(fā)短期探底競爭與不正當競爭。
四、數(shù)據(jù)攜帶權(quán)的中國應用
對數(shù)據(jù)攜帶權(quán)原理的分析已經(jīng)表明,數(shù)據(jù)攜帶權(quán)尚不具備成為一種基本權(quán)利的條件,其既可能會促進市場良性競爭,也可能會造成市場的惡性競爭。因此,中國未來的個人信息立法首先不應照搬《一般數(shù)據(jù)保護條例》中的數(shù)據(jù)攜帶權(quán),不應將數(shù)據(jù)攜帶權(quán)上升為一種具有普遍效力的基本權(quán)利。但如同上文的分析所指出的,數(shù)據(jù)攜帶權(quán)所服務之目的具有很強的正當性。如果在具體場景下應用恰當,那么數(shù)據(jù)攜帶權(quán)將會為用戶提供便利,促進數(shù)據(jù)的快捷流轉(zhuǎn)和合理使用,還將可能促進市場良性競爭,防止數(shù)據(jù)的“鎖定效應”。因此,將數(shù)據(jù)攜帶權(quán)視為一種“柔性權(quán)利”或追求目標,在具體場景中賦予個體以數(shù)據(jù)攜帶權(quán),可以提升用戶福利和促進市場與社會的公共利益。這一部分將以中國語境下企業(yè)與公共部門的數(shù)據(jù)問題為例,分析在何種場景下應當賦予個體以數(shù)據(jù)攜帶的權(quán)利。
1.企業(yè)數(shù)據(jù)中的數(shù)據(jù)攜帶權(quán)
在中國語境下,對于企業(yè)數(shù)據(jù)中所包含的個人數(shù)據(jù),首先面臨的問題是,個人是否可以較為方便快捷地獲取個人數(shù)據(jù)以及相關(guān)數(shù)據(jù)。對于這樣一種強化版的“訪問權(quán)”,本文認為應當將其賦予個體,要求企業(yè)在技術(shù)可行的情形下賦予個人下載個人數(shù)據(jù)與相關(guān)數(shù)據(jù)的權(quán)利。例如,各類電子公告板系統(tǒng)、博客、云盤和社交媒體應當提供下載選項,而且即使是非個人數(shù)據(jù),但如果是由個人所提供,那么也應當允許個人下載。當然,這種下載必須在驗證個人身份和保證數(shù)據(jù)安全的前提下進行,企業(yè)所提供的下載選項不應增加個人相關(guān)數(shù)據(jù)被泄露的風險。
其次,對于個人在不同企業(yè)之間轉(zhuǎn)移或移植個人數(shù)據(jù)的權(quán)利,本文認為應當慎重,視具體情況而定。對此,我們可以兩個典型案例進行分析。
第一個案例是微博與今日頭條之間關(guān)于用戶生成內(nèi)容是否可以在用戶授權(quán)前提下被“爬蟲”的爭議。2017年8月10日,微博發(fā)布公告稱:“某第三方新聞平臺在微博毫不知情、并未授權(quán)的情況下直接從微博抓取自媒體賬號的內(nèi)容”,(62)微博這里所稱的第三方平臺即是今日頭條的產(chǎn)品“微頭條”,“微頭條”通過獲取用戶的授權(quán)而繞開微博的授權(quán),直接利用“爬蟲”手段獲取用戶的微博內(nèi)容。在這一案例中,對于今日頭條的行為是否合法,可以從多個不同角度進行思考,如今日頭條是否違反不正當競爭法,是否侵犯微博的知識產(chǎn)權(quán)。(63)但用戶是否具有數(shù)據(jù)攜帶權(quán),將對案件的性質(zhì)產(chǎn)生重要影響。
具體來說,如果賦予個人數(shù)據(jù)攜帶權(quán),那么今日頭條的行為就很可能屬于合法行為,因為即使沒有微博的授權(quán),今日頭條也可以根據(jù)個人的數(shù)據(jù)攜帶權(quán)而轉(zhuǎn)移數(shù)據(jù)。事實上,根據(jù)數(shù)據(jù)攜帶權(quán)的要求,微博反而應當配合今日頭條進行數(shù)據(jù)轉(zhuǎn)移,當今日頭條與個人簽訂排他性數(shù)據(jù)協(xié)議或者限制用戶的數(shù)據(jù)攜帶權(quán)時,此類協(xié)議就可能涉嫌違法或無效。相反,如果個人不享有數(shù)據(jù)攜帶權(quán),僅僅以合同法或不正當競爭法來看待“用戶—微博—今日頭條”三者的關(guān)系,那么今日頭條的行為就存在違法的嫌疑。
對于這一難題,本文的初步判斷是,對于具有商業(yè)性質(zhì)的知名認證用戶,一般不宜賦予他們以數(shù)據(jù)攜帶權(quán),因為這些用戶具備與微博等企業(yè)進行平等協(xié)商的能力,他們甚至常常配備律師和顧問。在這樣的背景下,知名認證用戶與微博之間的協(xié)議應當被視為有效的商業(yè)合同。(64)并且,對于微博和今日頭條而言,知名認證用戶所發(fā)的內(nèi)容更具有直接的商業(yè)價值或財產(chǎn)屬性,根據(jù)競爭法的一般原理,一般不應當允許市場競爭主體無償獲取對方的財產(chǎn)。
而對于非知名認證用戶的普通用戶,應考慮更多賦予他們以數(shù)據(jù)攜帶權(quán)。原因有三:其一,這些用戶并不具備與微博等企業(yè)進行平等協(xié)商的能力。面對微博的排他性協(xié)議,用戶個人很難有真實的選擇權(quán),用戶與微博之間的關(guān)系更類似于數(shù)據(jù)主體與數(shù)據(jù)控制者之間的關(guān)系,需要對數(shù)據(jù)主體進行賦權(quán)和傾斜保護。其二,此類數(shù)據(jù)屬于公開數(shù)據(jù),因此即使賦予用戶以數(shù)據(jù)攜帶權(quán),也不會影響用戶的隱私期待。其三,即使賦予用戶以數(shù)據(jù)攜帶權(quán),也不會導致微博用戶的整體遷徙而對微博的數(shù)據(jù)權(quán)利產(chǎn)生整體性的影響。基于這三點理由,本文認為,在技術(shù)允許的情形下賦予用戶以數(shù)據(jù)攜帶權(quán),這符合數(shù)據(jù)保護的基本原理,數(shù)據(jù)攜帶權(quán)不僅可以為用戶帶來更為便捷的體驗,而且有利于互聯(lián)網(wǎng)企業(yè)之間進行良性競爭。數(shù)據(jù)攜帶權(quán)將促使互聯(lián)網(wǎng)企業(yè)不斷改善自身的產(chǎn)品設(shè)計,以產(chǎn)品設(shè)計來留住普通用戶。(65)
第二個案例是2019年初爆發(fā)并引起社會極大關(guān)注的字節(jié)跳動公司所屬的抖音、多閃與騰訊公司所屬產(chǎn)品微信之間的數(shù)據(jù)爭議。在這次爭議中,騰訊公司指責抖音違反誠信原則超范圍和違規(guī)使用來源于微信等軟件上的用戶頭像、昵稱等數(shù)據(jù),并擅自將騰訊公司提供給抖音的微信賬號授權(quán)登錄服務提供給多閃使用。(66)而字節(jié)跳動公司則反過來指責微信關(guān)閉對抖音與多閃的“開放平臺”接口,并且指出“用戶的頭像、昵稱的權(quán)益理應歸屬于用戶。不是騰訊授權(quán)我們使用用戶的頭像、昵稱,而是用戶授權(quán)我們使用他們的頭像昵稱”。(67)對于這個案例,如何理解與運用數(shù)據(jù)攜帶權(quán),無疑會對處理結(jié)果的走向產(chǎn)生重要影響。
從用戶的數(shù)據(jù)權(quán)利出發(fā),個人無疑擁有對頭像、昵稱的控制權(quán),而且在不同平臺之間轉(zhuǎn)移頭像與昵稱,這從技術(shù)上并不難實現(xiàn),成本也接近于零。從這個角度講,字節(jié)跳動公司的聲明完全正確,用戶頭像與昵稱并不屬于某個公司。甚至可以說,用戶頭像與昵稱不屬于任何人,如果此類頭像與昵稱可以通過公共途徑獲取的話,那么用戶頭像與昵稱就成為公共數(shù)據(jù),任何人都可以獲取。
但在此案中,較為復雜的是用戶頭像與昵稱背后的數(shù)據(jù)。雙方的爭議雖然開始聚焦于用戶頭像與昵稱,但深究之下,其實雙方在乎的都是用戶的關(guān)系鏈數(shù)據(jù):哪個用戶與哪個用戶是朋友或可能是朋友。騰訊公司介意的是此類數(shù)據(jù)被字節(jié)跳動公司獲取,而字節(jié)跳動公司想要獲取的也正是此類數(shù)據(jù)。孤零零的用戶頭像與昵稱,其實對雙方企業(yè)都沒有實質(zhì)性意義。
從關(guān)系鏈數(shù)據(jù)出發(fā),可以發(fā)現(xiàn)賦予用戶頭像、昵稱以數(shù)據(jù)攜帶權(quán),首先會面臨前文所提到的隱私期待問題。當用戶將自己的頭像與昵稱從微信移轉(zhuǎn)到字節(jié)跳動旗下的抖音與多閃時,字節(jié)跳動公司就可能利用自身的算法與相關(guān)技術(shù)來推算用戶之間的關(guān)系,并且向用戶推薦可能認識的好友。因此,這里有必要考慮隱私期待問題,即一個理性用戶在此類場景下的合理隱私期待是否會面臨嚴重威脅。就這一點來說,我們可以再次看到積極性的數(shù)據(jù)攜帶權(quán)與相對消極的隱私期待之間的張力。
此外,在此案中賦予用戶以數(shù)據(jù)攜帶權(quán),也需要考慮商業(yè)秘密保護。對于社交平臺企業(yè)而言,關(guān)系鏈數(shù)據(jù)是企業(yè)的核心資產(chǎn),具有重要的商業(yè)價值,而且屬于企業(yè)采取技術(shù)與措施進行重點保護的數(shù)據(jù)完全符合商業(yè)秘密的條件。因此,賦予用戶以數(shù)據(jù)攜帶權(quán),不應當影響企業(yè)對商業(yè)秘密的保護,尤其不應當影響企業(yè)在合作關(guān)系中通過合同法對商業(yè)秘密的保護。
綜上,我國的數(shù)據(jù)攜帶權(quán)應當按如下方式應用:首先,在技術(shù)可行與成本較低的情形下,企業(yè)應當滿足個人下載其數(shù)據(jù)與實現(xiàn)數(shù)據(jù)移轉(zhuǎn)的愿望。其次,數(shù)據(jù)攜帶權(quán)應當考慮隱私期待或企業(yè)的商業(yè)秘密等合法數(shù)據(jù)權(quán)益。在不涉及其他用戶隱私期待與企業(yè)合法權(quán)益的前提下,企業(yè)與平臺就應當努力落實數(shù)據(jù)攜帶權(quán);但在影響用戶隱私期待或企業(yè)合法權(quán)益保護的情形下,對這一權(quán)利的運用就應當保持謹慎。
2.公共數(shù)據(jù)中的數(shù)據(jù)攜帶權(quán)
對于公共部門所收集和儲存的個人數(shù)據(jù),我國對數(shù)據(jù)攜帶權(quán)的運用應該更為積極。對于這一點,本文的判斷與《一般數(shù)據(jù)保護條例》剛好相反。關(guān)于個人對公共部門的數(shù)據(jù)攜帶權(quán),《一般數(shù)據(jù)保護條例》第20條第3款進行了限定性規(guī)定:“對于控制者為了公共利益,或者為了行使其被授權(quán)的官方權(quán)威而進行的必要處理,這種權(quán)利不適用”。這一規(guī)定意味著,當對個人數(shù)據(jù)的處理是為了法律需要或者為了公共利益需要時,個人將無法行使數(shù)據(jù)攜帶權(quán)。
對于這樣一種限定,《一般數(shù)據(jù)保護條例》“重述”或第29工作組發(fā)布的指南沒有給出過多的解釋,而僅僅聲稱這是“其本身的性質(zhì)”決定的。或許歐盟認為,數(shù)據(jù)攜帶權(quán)所附加的責任過重,當數(shù)據(jù)收集者或控制者為了合規(guī)需要或為了履行公共職責時,就不應對其再附加責任。(68)
如果將數(shù)據(jù)攜帶權(quán)視為一種剛性的權(quán)利,那么本文同意《一般數(shù)據(jù)保護條例》對于數(shù)據(jù)攜帶權(quán)在公共部門領(lǐng)域的豁免。但如果將數(shù)據(jù)攜帶權(quán)僅視為一種“柔性權(quán)利”或追求的目標,那么數(shù)據(jù)攜帶權(quán)將可以促進我國政府和事業(yè)單位打破部門藩籬,消除“數(shù)據(jù)孤島”,促進數(shù)據(jù)的共享與便民化服務。
對于“數(shù)據(jù)孤島”給民眾帶來的困擾,可能很多人都感同身受。無論是入學申請、入職申請還是辦理證件,只要與公共部門打交道,就會感受到重復填寫各種表單的煩擾。而具體的政府部門和事業(yè)單位也常常感到無奈,因為對于數(shù)據(jù)的收集與核驗是其職責所在。造成這種困境的部分原因是,政府部門和事業(yè)單位之間的數(shù)據(jù)可攜帶性非常弱,亟須通過加強不同政府部門與事業(yè)單位之間的互操作性來加強公共部門的數(shù)據(jù)共享能力。
對于這種“數(shù)據(jù)孤島”造成的困擾,目前我國政府推行的方案是通過自上而下的改革來解決。例如,浙江的“最多跑一次”改革,就是通過政府強力推動來實現(xiàn)政府內(nèi)部的各種數(shù)據(jù)共享,以此來提高政府的辦事效率,改善百姓在與政府打交道過程中的體驗。(69)
本文完全認同自上而下的政府改革與推動,但賦予公民以針對政府部門和事業(yè)單位的數(shù)據(jù)攜帶權(quán),以自下而上的方式來推動政府改革,也是一條走出“數(shù)據(jù)孤島”困境的有效途徑。畢竟,很多時候普通百姓對于“數(shù)據(jù)孤島”的感受最為深切,最有動力提起申訴。如果能將普通個體的申訴請求與政府自上而下的改革決心結(jié)合起來,那么將能夠更為有利地消除某些政府部門和事業(yè)單位的惰性,促進數(shù)據(jù)共享更為合理和有效地實現(xiàn)。如果政府能夠成立跨部門的層級較高的數(shù)據(jù)共享聯(lián)合工作機構(gòu),受理個體所提出的合理的數(shù)據(jù)攜帶權(quán)請求,那么此種聯(lián)動機制將可能倒逼政府不斷進行改革,推動公共數(shù)據(jù)的共享與個體數(shù)據(jù)的便攜性。在理想的情形下,公民在一個部門所填的申請表,應該可以根據(jù)個人的請求而無障礙地移植到另一個部門。如果此種目標能夠?qū)崿F(xiàn),那么個人數(shù)據(jù)將變得像“一卡通”那樣便于攜帶,真正造福于民眾。
五、結(jié)語
作為一種新型權(quán)利,數(shù)據(jù)攜帶權(quán)在歐盟問世后,引起全世界的關(guān)注。數(shù)據(jù)攜帶權(quán)雖然非常值得追求,但也面臨爭議。綜合而言,數(shù)據(jù)攜帶權(quán)尚未具備成為一種成熟型權(quán)利的條件,不應當將被數(shù)據(jù)攜帶權(quán)上升為類似數(shù)據(jù)訪問權(quán)的基本權(quán)利,而應當將數(shù)據(jù)攜帶權(quán)視為一種“柔性權(quán)利”或努力目標。對于這樣一種目標,不應要求所有的數(shù)據(jù)控制者都承擔無差別的責任。相反,應當根據(jù)不同主體與不同場景而要求數(shù)據(jù)控制者滿足個體獲取與轉(zhuǎn)移數(shù)據(jù)的請求;同時,應當預防數(shù)據(jù)攜帶權(quán)可能帶來的不正當競爭與惡性競爭,結(jié)合用戶與企業(yè)的合法權(quán)益確定是否以及在何種程度上賦予個體移轉(zhuǎn)個人數(shù)據(jù)的權(quán)利。
在中國語境下借鑒與運用數(shù)據(jù)攜帶權(quán),首先要避免在個人信息立法中照搬照抄歐盟的數(shù)據(jù)攜帶權(quán)規(guī)定。我國未來的個人信息保護法應當更多強調(diào)場景化保護與數(shù)據(jù)權(quán)利合理預期的進路,通過場景化界定與數(shù)據(jù)權(quán)利合理預期來指導個人信息保護法的制定,確立個人信息權(quán)利或個人數(shù)據(jù)權(quán)利的邊界。其次,數(shù)據(jù)攜帶權(quán)的中國應用需要結(jié)合具體場景,對企業(yè)與公共部門施加不同類型與程度的數(shù)據(jù)攜帶權(quán)。只有在具體場景中勾勒與確定數(shù)據(jù)攜帶權(quán)的邊界,這一權(quán)利才可能真正有利于公民權(quán)益與產(chǎn)業(yè)發(fā)展。
注釋:
①本文所引用的《一般數(shù)據(jù)保護條例》的中文版本為作者所譯,參見《歐洲一般數(shù)據(jù)保護條例》,丁曉東譯,http://www.calaw.cn/article/default.asp?id=12864,2018-09-05。下文引用均為此譯本,部分譯文做了修改。
②目前關(guān)于數(shù)據(jù)攜帶權(quán)的研究較少,相關(guān)文獻參見曹亞廷:《數(shù)據(jù)可攜帶權(quán)及其對征信業(yè)影響初探》,《征信》2016年第9期;李蕾:《數(shù)據(jù)可攜帶權(quán):結(jié)構(gòu)、歸類與屬性》,《中國科技論壇》2018年第6期。
③全國人大常委會法工委發(fā)言人岳仲明表示,2020年將制定個人信息保護法、數(shù)據(jù)安全法等。參見《2020年將制定個人信息保護法、數(shù)據(jù)安全法》,http://www.sohu.com/a/361947598_612075,2019-12-23.
④See Joseph Smarr,Marc Canter,Robert Scoble,Michael Arrington and others,A Bill of Rights for Users of the Social Web,http://www.template.org/?page_id=599,2018-09-09.
⑤Data Portability Project,http://dataportability.org,2018-09-10.
⑥See Kurt Opsahl,A Bill of Privacy Rights for Social Network Users,https://www.eff.org/deeplinks/2010/05/bill-privacy-rights-social-network-users,2018-09-12.
⑦See Kristen Honey,Phaedra Chrousos & Tom Black,My Data:Empowering All Americans with Personal Data Access,https://obamawhitehouse.archives.gov/blog/2016/03/15/my-data-empowering-all-americans-personal-data-access,2018-09-12.
⑧See Duncan Riley,Facebook,Google and Plaxo Join the Data Portability Workgroup,http://techcrunch.com/2008/01/08/this-day-will-be-remembered-facebook-google-and-plaxo-join-the-dataportability-workgroup,2018-09-13.
⑨See Download Your Data,https://takeout.google.com/settings/takeout,2018-09-14.
⑩See What Categories of My Facebook Data are Available to Me? https://www.facebook.com/help/405183566203254,2018-09-14.
(11)參見丁曉東:《什么是數(shù)據(jù)權(quán)利?——從歐洲〈一般數(shù)據(jù)保護條例〉看數(shù)據(jù)隱私的保護》,《華東政法大學學報》2018年第4期。
(12)“重述”不具有法律效力,但為《一般數(shù)據(jù)保護條例》提供補充信息,幫助相關(guān)主體理解和適用條例;第29工作組(29 Working Party)是一個根據(jù)1995年《歐盟數(shù)據(jù)保護指令》第29條成立的咨詢機構(gòu),由歐盟成員國數(shù)據(jù)保護機構(gòu)、歐洲數(shù)據(jù)保護監(jiān)督員和歐洲委員會組成的代表組成,意在為歐盟各國的數(shù)據(jù)保護提供專業(yè)指引。2018年5月25日以后,這個工作小組由歐洲數(shù)據(jù)保護委員會(European Data Protection Board)替代。
(13)參見《一般數(shù)據(jù)保護條例》第15條。
(14)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-09-18.
(15)正如第29工作組發(fā)布的指南所指出的:“數(shù)據(jù)可攜帶性可促進用戶在不同機構(gòu)之間控制和有限地分享個人數(shù)據(jù),從而豐富服務和改善用戶體驗。數(shù)據(jù)可攜帶性可促進用戶在他們感興趣的各種服務之間傳輸和重用與他們有關(guān)的個人數(shù)據(jù)。”See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-10-20.
(16)能夠關(guān)聯(lián)到個體的假名化的數(shù)據(jù)(pseudonymous data)將被視為個人數(shù)據(jù)。
(17)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-09-18.
(18)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-09-18.
(19)See Amending Directive 2003/98/EC on the Re-Use of Public Sector Information,http://www.nationalarchives.gov.uk/documents/information-management/response-open-data-user-group.pdf,2018-09-18.
(20)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-09-09.
(21)如同《一般數(shù)據(jù)保護條例》“重述”第68條所指出的:“數(shù)據(jù)主體具有發(fā)送或接收有關(guān)他或她的個人數(shù)據(jù)的權(quán)利,但不應當對控制者施加采用或維護技術(shù)兼容的處理系統(tǒng)的責任。”
(22)例如,基于互操作性的要求,用戶在蘋果Mac OS X系統(tǒng)上所建立的文檔應當能夠傳輸?shù)絎indows系統(tǒng)上,但Mac OS X系統(tǒng)與Windows系統(tǒng)并不兼容。
(23)如同第29工作組發(fā)布的指南所指出的,數(shù)據(jù)攜帶權(quán)這項新權(quán)利的目的在于“賦予數(shù)據(jù)主體權(quán)利,并給予他/她對有關(guān)他或她的個人數(shù)據(jù)更多控制權(quán)”。See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-10-20.
(24)See Laise Bornico and Ian Walden,Ensuring Competition in the Clouds:The Role of Competition Law? 12 ERA Forum,282(2011).
(25)See Urs Gasser &John Palfrey,Breaking Down Digital Barriers:When and How ICT Interoperability Drives Innovation,http://cyber.law.harvard.edu/interop/pdfs/inter-op-breaking-barriers.pdf,2018-10-10.
(26)See Elias Bizannes,Why Every Site should Have Data Portability Policy,http://techcrunch.com/2010/06/23/data-portability-policy,2018-10-15.
(27)See Inge Graef,Martin Husovec & Nadezhda Purtova,Data Portability and Data Control:Lessons for an Emerging Concept in EU Law,https://ssrn.com/abstract=3071875,2018-10-16.
(28)See David Krebs,Regulating the Cloud:A Comparative Analysis of the Current and Proposed Privacy Frameworks in Canada and the European Union,10Canadian Journal of Law and Technology,38(2012).
(29)See Peter Swire & Yianni Lagos,Why the Right to Data Portability Likely Reduces Consumer Welfare,72 Maryland Law Review,373(2017).
(30)See Stefan Weiss,Privacy Threat Model for Data Portability in Social Networks Applications,29 International Journal of Information Management,250(2009).
(31)See Barbara Van der Auwermelen,How to Attribute the Right to Data Portability in Europe:A Comparative Analysis of Legislations,1Computer Law &Security Review,60(2017).
(32)See Peter Swire & Yianni Lagos,Why the Right to Data Portability likely Reduces Consumer Welfare,72 Maryland Law Review,355-356(2017).
(33)有的公司直接將商業(yè)秘密作為不提供用戶下載數(shù)據(jù)的理由。See Emil Protalinsk,Facebook:Releasing Your Personal Data Reveals our Trade Secrets,http://www.zdnet.com/blog/facebook/facebook-releasing-your-personal-data-reveals-our-trade-secrets/4552,2018-10-18.
(34)參見程嘯:《論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利》,《中國社會科學》2018年第3期;丁曉東:《論個人信息法律保護的思想淵源與基本原理——基于“公平信息實踐”的分析》,《現(xiàn)代法學》2019年第3期。
(35)See Henry Shue,Basic Rights:Subsistence,Affluence,and U.S.Foreign Policy,Princeton University Press,1980; Lawrence Croke,Positive Liberty:An Essay in Normative Political Philosophy,Kluwer Academic Publishers,1980; Cass Sunstein,After the Rights Revolution:Reconceiving the Regulatory State,Harvard University Press,1993; Stephen S.Holmes &Cass S.Sunstein,The Costs of Rights,W.W.Norton,1999; Thomas Halper,Positive Rights in a Republic of Talk,A Survey and a Critique,Kluwer Academic Publishers,2003.
(36)See Samuel D.Warren &Louis D.Brandeis,The Right to Privacy,4Harvard Law Review,193(1890).
(37)See Alan Westin,Privacy and Freedom,Atheneum,1967,p.7.
(38)這種積極數(shù)據(jù)權(quán)利也為其他很多學者所分享。Arthur R.Miller,Assault on Privacy:Computers,Data Banks and Dossiers,The University of Michigan Press,1971,p.25; W.A.Parent,Recent Work on the Concept of Privacy,20 American Philosophy Quarterly,346(1983); Jonathan Zittrain,What the Publisher can Teach the Patient:Intellectual Property and Privacy in an Era of Trusted Privication,52Stanford Law Review,1203(2000).
(39)參見梅夏英:《數(shù)據(jù)的法律屬性及其民法定位》,《中國社會科學》2016年第9期。
(40)例如開放文件(Open Document)格式,這一格式被“促進結(jié)構(gòu)化信息標準組織”(Organization for the Advancement of Structured Information Standards)認為是全球領(lǐng)先的文件標準,2005年被認定為國際標準。See Open Document Format,http://opendocumentformat.org/,2018-12-08.
(41)See Rajiv Shah &Jay P.Kesan,Lost in Translation:Interoperability Issues for Open Standards,https://law.depaul.edu/about/centers-and-institutes/center-for-intellectual-property-law-and-information-technology/programs/Documents/ipsc_2011/papers/KesanJ_Paper.pdf,2018-12-08.
(42)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-09-18.
(43)從風險控制的角度來看,第29工作組的這種自信存在一定的疑問,畢竟面對海量的用戶,企業(yè)或網(wǎng)站不可能對用戶的身份進行一一的人工驗證,并且即使能夠進行人工驗證,也很難保證用戶身份的真實性。
(44)就“數(shù)據(jù)主體提供”這一界定而言,第29工作組將其限定為兩類數(shù)據(jù),一類是數(shù)據(jù)主體主動提供的數(shù)據(jù),例如郵寄地址、用戶名、年齡等;另一類是由數(shù)據(jù)對象通過使用服務或設(shè)備提供的觀測數(shù)據(jù),如個人的搜索歷史、交通數(shù)據(jù)和位置數(shù)據(jù)等。但第29工作組也指出,此類數(shù)據(jù)不應當包括“推斷數(shù)據(jù)”和“派生數(shù)據(jù)”,即通過后續(xù)分析得到的數(shù)據(jù),如關(guān)于用戶健康狀況評估結(jié)果的數(shù)據(jù)、銀行征信管理系統(tǒng)中出于風控目的創(chuàng)設(shè)的用戶數(shù)據(jù)、網(wǎng)站為用戶創(chuàng)設(shè)的用戶畫像數(shù)據(jù)。See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-dataportability-guidance.pdf,2018-10-22.
(45)對于數(shù)據(jù)攜帶權(quán)與用戶評論移植的討論,See Vikas Kathuria &Jessica C.Lai,User Review Portability:Why and How? https://ssrn.com/abstract=3203344,2018-10-28.
(46)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-10-28.
(47)See Stephan Weiss,Privacy Threat Model for Data Portability in Social Network Applications,29International Journal of Information Management,249-254(2009).
(48)See Facebook-Cambridge Analytica Scandal,https://en.wikipedia.org/wiki/Facebook-Cambridge_Analytica_data_scandal,2018-10-28.
(49)See Wesley Hohfeld,Some Fundamental Legal Conceptions as Applied in Legal Reasoning,23 Yale Law Journal,16(1913).
(50)See Mark A.Lemley &David McGowan,Legal Implications of Network Economic Effects,86California Law Review,483-505(1998).
(51)參見周漢華:《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》,《法學研究》2018年第2期;高富平:《個人信息保護:從個人控制到社會控制》,《法學研究》2018年第3期;丁曉東:《數(shù)據(jù)到底屬于誰?——從網(wǎng)絡(luò)爬蟲看平臺數(shù)據(jù)權(quán)屬與數(shù)據(jù)保護》,《華東政法大學學報》2019年第5期。
(52)參見《一般數(shù)據(jù)保護條例》第1條第3款。
(53)See Inge Graef,Martin Husovec & Nadezhda Purtova,Data Portability and Data Control:Lessons for an Emerging Concept in EU Law,https://ssrn.com/abstract=3071875,2018-10-16.
(54)正如美國漢德法官曾指出的:“為了促進競爭,成功的競爭者不應當受到譴責”。See United States v.Aluminum Co.of Am.,148 F.2d 416,430(2d Cir.1945).
(55)參見龍衛(wèi)球:《數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究》,《政法論壇》2017年第4期。
(56)參見姚佳:《企業(yè)數(shù)據(jù)的利用準則》,《清華法學》2019年第3期。
(57)例如,在“HiQ訴領(lǐng)英案”中,法院認為,一旦平臺接入互聯(lián)網(wǎng),就意味著平臺數(shù)據(jù)具有公共屬性,不為任何私人或企業(yè)所有。作為此案HiQ公司的顧問,哈佛大學的勞倫斯·卻伯(Laurence Tribe)教授指出,數(shù)據(jù)與信息的訪問權(quán)是一種言論自由的權(quán)利,受到美國憲法第一修正案的保護。根據(jù)這種觀點,數(shù)據(jù)的本質(zhì)其實是一種言論,而言論的本質(zhì)就是流通和共享,具有公共屬性。See HiQ Labs,Inc.v.LinkedIn Corp.,No.17-16783(2017).
(58)簡要來說,美國的數(shù)據(jù)庫保護只涉及數(shù)據(jù)庫中原創(chuàng)性匯編的要素,對數(shù)據(jù)庫中的事實部分或不具有原創(chuàng)性匯編的數(shù)據(jù)庫,法律不加以保護。而與美國做法不同的是,歐洲除了對數(shù)據(jù)庫的原創(chuàng)性匯編部分進行保護之外,也為數(shù)據(jù)庫的特殊權(quán)利(sui generis rights)提供保護。根據(jù)這一特殊權(quán)利保護的規(guī)定,當“創(chuàng)造數(shù)據(jù)庫需要足夠的人力、技術(shù)和財政資源”時,數(shù)據(jù)庫就受到法律保護。一旦數(shù)據(jù)庫被創(chuàng)造出來,他人就不得使用或復制數(shù)據(jù)庫的全部數(shù)據(jù)或大部分數(shù)據(jù)。
(59)See Miriam Marcowitz-Bitton,A New Outlook on the Economic Dimension of the Database Protection Debate,47 IDEA:The Journal of Law and Technology,158(2006).
(60)See Yuval Feldman,The Behavioral Foundations of Trade Secrets:Tangibility,Authorship,and Legality,3 Journal of Empirical Legal Studies,197(2006).
(61)See Spencer Weber Waller,Antitrust and Social Networking,90 The North Carolina Law Review,1800(2012).
(62)參見汪傳鴻:《誰的用戶:微博欲訴今日頭條非法抓取內(nèi)容》,http://finance.sina.com.cn/roll/2017-08-15/docifyixcaw4855222.shtml,2018-11-08。
(63)參見李妙玲、岳慶榮:《我國用戶生成內(nèi)容的版權(quán)侵權(quán)問題治理模式研究》,《新世紀圖書館》2015年第5期;劉珊、黃琴:《網(wǎng)絡(luò)用戶生成內(nèi)容版權(quán)侵權(quán)自治模式的法治化探索》,《中國出版》2018年第12期。
(64)例外情形是具有公益性的個人數(shù)據(jù)或用戶生產(chǎn)內(nèi)容,如知名認證用戶發(fā)的公益廣告或公益信息,對于此類信息應當允許數(shù)據(jù)攜帶權(quán)的充分行使,以促進此類信息的流通和共享。
(65)相較而言,平臺對于知名認證用戶的爭奪常常通過支付高額報酬的方式進行。
(66)以上為第一點指控,騰訊公司還提出其他三點指控:“2.抖音違反開放平臺用戶協(xié)議、商業(yè)道德以及相關(guān)法律,將來源于微信/QQ開放平臺的微信/QQ頭像、昵稱等數(shù)據(jù)提供給多閃使用。3.更為嚴重的是,在用戶僅注冊了抖音、未注冊多閃的情況下,多閃仍然非法從抖音獲取了用戶的微信/QQ頭像和昵稱。4.我們認為,用戶個人信息的獲取和使用必須遵循‘合法、正當、必要’原則和三重授權(quán)原則。抖音和多閃的上述行為,嚴重侵犯了開放平臺共享數(shù)據(jù)的安全,更直接侵犯了用戶合法權(quán)益。”參見《多閃稱被禁用微信/QQ頭像昵稱,騰訊:偷換概念的無稽之談》,http://www.sohu.com/a/302422680_561670,2019-04-03。
(67)參見《多閃發(fā)聲明:不認同騰訊主張,昵稱、頭像相關(guān)權(quán)益應歸屬用戶》,http://m.sohu.com/a/302808039_118792,2019-04-03。
(68)See Guidelines on the Right to Data Portability 2017,https://iapp.org/media/pdf/resource_center/WP29-2017-04-data-portability-guidance.pdf,2018-06-18.
(69)參見《今年浙江要這么干!打破信息孤島實現(xiàn)數(shù)據(jù)共享推進“最多跑一次”改革工作要點出爐》,http://huzcx.zjzwfw.gov.cn/art/2018/4/16/art_1220331_17373872.html,2018-11-26。